Skyssweb gjenåpnes med forbedret sikkerhet

IT-løsningen Cert, som i Østfold er kjent under navnet Skyssweb, benyttes av både Østfold kollektivtrafikk og skolene i fylket for å administrere skoleskyss. Etter at det i begynnelsen av oktober ble varslet om et sikkerhetshull, ble løsningen umiddelbar stengt i påvente av ytterligere undersøkelser. 

Flere norske fylkeskommuner har jobbet sammen med leverandøren og HelseCert (cybersikkerhetssenteret for helse- og kommunesektoren) for å kartlegge omfanget av sikkerhetshullet som ble oppdaget. Det var en uautorisert, ekstern aktør som tester datasystemet for svakheter som først oppdaget og varslet om sikkerhetshullet. 

Dette har blitt gjort 

Mens Skyssweb har vært utilgjengelig, har ØKT og skolene i Østfold håndtert administrasjonen av skoleskyss manuelt. For å sikre forsvarlig drift fremover har det vært avgjørende å kunne ta i bruk Skyssweb igjen – med styrket sikkerhet. I samråd med leverandøren er følgende tiltak gjennomført: 

• Administratorbrukere som har vært benyttet til utvikling og testing, er fjernet
• Et nytt og strengere regelverk for passord er innført
• Tilgang til systemet er begrenset til forhåndsgodkjente IP-adresser (såkalt "hvitelisting")
  
  

Dette skjer fremover

ØKT er fornøyd med samarbeidet med leverandøren og vurderer tiltakene som tilstrekkelige for å ta løsningen i bruk igjen. Samtidig pågår en prosess for innføring av et nytt system, og vi fortsetter å samarbeide tett med andre berørte fylker og relevante faginstanser.